Hollows_Hunter는 메모리 패시브 스캐너 PE-sieve를 기반으로 한 커맨드라인 애플리케이션입니다. 주요 기능은 PE 대체/임베드, 쉘코드, 후크 및 메모리 패치와 같은 다양한 유형의 잠재적으로 악의적인 임플란트를 식별하고 "덤프"하는 것입니다.
고급 프로세스 선택: PE-sieve와 다르게, PID(프로세스 식별자)로만 프로세스를 선택할 수 있는 대신, Hollows Hunter는 다양한 기준에 따라 프로세스를 선택할 수 있는 기능을 제공합니다:
전체 스캔: 특정 대상을 선택하지 않으면 소프트웨어는 시스템의 모든 프로세스를 스캔합니다.
지속적인 스캔: Hollows Hunter는 인수 /loop를 사용하여 메모리를 지속적으로 스캔하도록 설정하거나 /etw 모드에서 ETW(윈도우 이벤트 추적) 리스너로 실행할 수 있습니다(64비트 버전만 해당).
이러한 기능을 통해 Hollows Hunter는 메모리에서 악의적인 임플란트를 식별하는 강력한 도구가 되어 Windows 시스템의 보안 분석에 필수적입니다.